В последние недели мая банки России, стран СНГ подверглись атаке со стороны хакерской группы Cobalt. Сразу две целевые атаки группа провела, по данным Group-IB, 23 и 28 мая.
На сей раз для атаки использовались фишинговые письма от имени "Лаборатории Касперского".
Лидер группы был арестован в Испании в конце марта нынешнего года. Но судя по всему, у хакеров, оставшихся на свободе, оказалось достаточно сил, чтобы в очередной раз попытаться взломать защиту банков.
Первая волна фишинговой рассылки зафиксирована в Москве 23 мая в 13:21. Пользователь получил "жалобу" на английском языке о том, что с его компьютера якобы зафиксирована активность, нарушающая существующее законодательство. Получателю предлагалось ознакомиться с вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, "антивирусная компания" угрожала наложить санкции на web-ресурсы получателя. Для того чтобы скачать письмо, необходимо было перейти по ссылке, что привело бы к заражению компьютера сотрудника банка.
Провести атрибуцию и подтвердить, что рассылка дело рук Cobalt не составило труда: в атаке была задействована уникальная троянская программа Coblnt, использовавшаяся группой с декабря 2017. Детально её работа рассмотрена в отчете Group-IB. Почтовая рассылка шла с домена kaspersky-corporate.com, который показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt.
28 мая около 13:00 по МСК зафиксирована очередная атака Cobalt. На сей раз письмо от имени Центрального Европейского банка было разослано по банкам с ящика v.constancio@ecb-europa[.]info. В письме содержится ссылка на документ 67972318.doc, якобы описывающий финансовые риски.
Файл 67972318.doc - документ Word, эксплуатирующий уязвимость CVE-2017-11882. В результате открытия эксплоита и успешной эксплуатации уязвимости произойдет заражение и первичное "закрепление" вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, разработки Cobalt.
В Group-IB не исключают, что жертвами этих кибератак могли быть не только банки России и СНГ: оба письма составлены на английском языке, что говорит о возможных целях в иностранных банках. Снова качество фишинговых писем оценивается экспертами компании как высокое. Например, в атаке 23 мая текст на английском языке стилизован под "юридическую жалобу", а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что не характерно для Cobalt. Эти и другие признаки вновь указывали на вероятность проведения оставшимися на свободе членами группа Cobalt совместной операции с другими преступными группами, в частности Anunak.
